我的 Apache 服务器上有大量奇怪的请求访问日志。
所请求 URI 的一些示例:
216.110.10.170 - - [22/May/2013:18:44:05 +0200] "GET /?url=https://mail.google.com/mail/?shva=1 HTTP/1.1" 401 1248
173.252.71.189 - - [22/May/2013:18:44:07 +0200] "GET /?url=http://www.amazon.com/gp/product/handle-buy-box/ref=dp_start-bbf_1_glance HTTP/1.1" 401 1248
69.63.185.56 - - [22/May/2013:18:43:09 +0200] "GET /?url=https://www.facebook.com/messages/susan.coop HTTP/1.1" 401 1248
有趣的是,所有这些 IP 地址都已在 Facebook 注册。
所有请求都导致 401,因为服务器的 DocumentRoot 受到 .htaccess 文件保护。
那么有人知道为什么提出这些请求吗?
答案1
他们正在扫描开放代理。这样做有两个原因。
首先,也是最常见的情况,有人正在寻找一个开放代理来滥用。这种或其他类型的自动扫描是可疑日志条目最常见的原因。第一个 IP 有一个似乎指向 Facebook 的推荐 whois,但你会注意到地址不同,而且看起来有点奇怪(甚至没有管理员联系人,地址也不同)。这可能是也可能不是其他人。
其次,有时寻找安全情报的人会运行这些类型的扫描,以制作容易被滥用的服务器黑名单。然后可以将这些数据用作启发式的输入(是否显示验证码,或者某个操作是否可疑,可以通过了解请求是否来自开放代理来增强)。Facebook 可能会也可能不会收集此类数据。
当然,Facebook 的许多 PC(甚至是服务器)也可能遭到入侵,或者正在运行僵尸网络,或者访问了恶意链接,这可能是流量产生的原因。
此类流量对开放代理之外的其他对象的影响基本上为零,最好将其忽略。
答案2
这是一个测试,看看您的服务器是否可以被滥用为开放代理。
另外,第一个 IP 地址属于 twtelecom.net,而不是 facebook。其他两个 IP 地址位于属于 facebook 的网络块中。